На конференции BlackHat был прочитан (http://www.sensepost.com/blog/4873.html) доклад, в котором рассказывалось об организации атаки, позволяющей получить доступ к закрытой информации, такой как пароли пользователей, воспользовавшись некорректной настройкой системы кэширования Memcached (http://www.memcahced.org). Проблема вызвана тем, что некоторые администраторы используют привязку Memcached к реальному IP (при запустке memcached на одном хосте с сайтом рекомендуется привязать его к адресу 127.0.0.1), забывая блокировать сетевой порт 11211 межсетевым экраном.
Так как в Memcached отсутствуют средства аутентификации, при наличии доступа к открытому сетевому порту злоумышленник может легко получить полный доступ (чтение и запись) ко всем хранимым в кэше данным. На первый взгляд может показаться, что атаке могут быть подвержены только сайты, на которых используются стандартные web-приложения для которых известна логина формирования ключей для хранения данных в кэше. Но это не так, ...URL: http://www.sensepost.com/blog/4873.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=27552
А не это ли причина нашумевшего взлома аккаунтов в LiveJournal. Официально говорили, что был BrouteForce и перехват паролей троянами, но слишком уж много пользователей божилось, что пароли у них были не словарные и Windows они не пользуются или обложены антивирусами со всех сторон, не нашедших никаких троянов.
> А не это ли причина нашумевшего взлома аккаунтов в LiveJournal. Официально говорили, что был BrouteForce и перехват паролей троянами, но слишком уж много пользователей божилось, что пароли у них были не словарные и Windows они не пользуются или обложены антивирусами со всех сторон, не нашедших никаких троянов.Не думаю. Ну не могут быть админы столь крупного и явно не бедного сервиса быть настолько тупыми.
почему?
> почему?Подсознательная вера в Большого Брата и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал. Выставить голой попой memcached наружу - это именно из этой оперы. Причем что каких-то обоснованных причин его туда выставлять я не вижу. Это или раздолбайство или махровое невежество. Минимально вменяемый админ себе такого не позволит.
>и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персоналВы не из России?
> Вы не из России?Ну нельзя же так уж совсем то ниже плинтуса опускать отечественных ITшников. Всему есть свой предел.
Не айтишников, а тех, кто нанимает безголовых айтишников.
>>и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал
>
>Вы не из России?обратите внимание на http://ru.wikipedia.org/wiki/Принцип_Питера
и заметьте, что принцип сформулирован не россиянином и не на основе наблюдений за Россией
>Не думаю. Ну не могут быть админы столь крупного и явно не
>бедного сервиса быть настолько тупыми.Насколько я понимаю у LJ очень большая сеть memcached-серверов, если на одном забыть настроить фаервол, то этого будет достаточно для взлома группы аккаунтов. Не факт, что пароли были получены, более похоже, что id определенных сессий перехватили и пароли поменяли. Вполне возможно, что сниффером а не через memcached, или с OpenID какие-нибудь манипуляции, например, через подставные формы паролей насобирали.
Гугле рулит!!
> Интересен также способ, которым экспериментаторы пользовались для определения соответствующего MD5-хэшу пароля - хэш достаточно было запросить в поисковой системе Google.Да, таки на простых паролях работает :)
Мельчают, мельчают блекхатовцы. Через пару лет они так для себя и psexec глядишь откроют, да. Как очень оригинальный и свежий инструмент.
>Мельчают, мельчают блекхатовцы. Через пару лет они так для себя и psexec
>глядишь откроют, да. Как очень оригинальный и свежий инструмент.Ждём все когда Клалафуду клалафу родит свой первый мега опасный эксплойт, а пока ты не на defcon лучше такими фразами не бросаться.
>>Для автоматизации проведения атаки, выявления важной информации из отладочных slab-дампов Memcached и подстановки своих данных в кэш автор доклада подготовил специальную утилиту go-derper../go-derper.rb -l -s ya.ru
[memcache-client] Could not load SystemTimer gem, falling back to Ruby's slower/unsafe timeout library: no such file to load -- system_timer
[w] No output directory specified, defaulting to ./output
[w] No prefix supplied, using "run1"
[E] Can't enable debug mode on server, leaching only through brute-force is currently unsupported
Что бы это значило?
Относительно первого предупреждения - [sudo] gem install system_timer
Остальное - нужно читать src, наверно, защита от srcipt kiddies.
Мдя, выставлять мемкеш на внешний интерфейс...
Он же по умолчанию привязывается к 127.0.0.1
а если на нескольких серверах, то конечно фаер или внутренняя сетка.
еще пример: в редхате и центосе при установке mysql дефолтная конфигурация запускает его на 0.0.0.0 :))
Не знаю, как в редхате, а вот в центосе по дефолту снаружи открыт только 22-й порт... так что всё не так уж плохо
Да, кстати. Приходилось видеть связки nginx + кэширование в memcached, в которых без префикса вначале проверяется ключ uri в кэше, если он есть выводится из memcached, нет - идет обращение к бэкенду. Ведь такие системы тоже можно атаковать похожим способом, подставляем вместо URL включение дебаг режима и узнаем ключи для пользовательских сессий. Насколько мне память не изменяет, nginx передает uri как есть, не экранируя.
Это не новость. Давно блочим :)
>Это не новость. Давно блочим :)Новость в том, что оказывается кто-то не блокирует.
> Новость в том, что оказывается кто-то не блокирует.Я может кого-то сильно удивлю, но есть масса людей, которые используют прости хоссподи виндовс. И ничего, живут как-то. С грехом пополам.